Staatstrojaner-Affäre Angriff der digitalen Dilettanten

Düsseldorf · In der hitzigen Diskussion um den Einsatz von sogenannten Bundes- oder Staatstrojanern sind noch wesentliche Fragen offen: Was genau dürfen Computer-Viren, die zu Ermittlungszwecken programmiert wurden? Und was bedeutet Privatsphäre im Internetzeitalter?

Presse zum Trojaner-Hack: das nackte Grauen
Infos

Presse zum Trojaner-Hack: das nackte Grauen

Infos
Foto: dpa

Der Chaos Computer Club hat einen politischen Streit entfacht: darüber, was Bundestrojaner tatsächlich können und möglicherweise können sollten. Und wie sicher darf man sich fühlen, wenn der Staat auf Bundes- oder Landesebene anfängt, auf den Rechnern zu spionieren? Die Diskussion hat ein Eigenleben entwickelt, die sich immer mehr von den Fakten entfernt und Ermittlungsbehörden mit Datenkraken stellt. gleichstellt. Solchen, die wie in George Orwells Dystopie "1984" als Big Brother alles überwachen.

Doch was ist eigentlich geschehen? Dem Chaos Computer Club (CCC) sind Festplatten von Rechnern zugespielt worden, die sich seltsam verhielten. Der Club entdeckte bei seiner Analyse tatsächlich einen Virus: einen sogenannten Trojaner, der im Hintergrund arbeitet und Daten ausspäht. Im PC nistet er sich als Bestandteil des Betriebssystems Windows ein. Wird ein Internet-Browser oder ein E-Mail-Programm gestartet, nimmt der Trojaner den Inhalt des Fensters als Screenshots auf und übermittelt diese. Auf die gleiche Art kann er die Kommunikation über ein Chat-Programm speichern. Auch das Mitschneiden von Audiodateien bei Internet-Telefonaten ist möglich.

Dass die bayerische Staatsregierung den Trojaner beim hessischen Unternehmen Digi Task in Auftrag gegeben hat, steht mittlerweile fest. Doch ist das ein Angriff auf die Privatsphäre aller Internetnutzer? Wäre es, wenn der Trojaner unbemerkt auf jedem Rechner installiert worden wäre. Tatsächlich aber trifft es Personen, die im Verdacht stehen, an Kapitalverbrechen beteiligt zu sein.

Auch wenn die Enthüllungen des CCC zunächst sehr brisant klangen, sagte der Club nicht, von wem die Festplatten eigentlich stammten. Erst Tage später gab ein Anwalt an, dass der Bundestrojaner bei einem seiner Mandaten am Flughafen München vom Zoll installiert worden sei — bei seiner Einreise, mit einer richterlichen Verfügung und um Internet-Telefonate per Skype mitzuschneiden. Der Grund war der Verdacht des Verstoßes gegen das Betäubungsmittelgesetz.

Anfang des Überwachungsstaates?

Ist das nun aber das Ende des Rechts- und der Anfang des Überwachungsstaates? So wie viele Blogger befürchten, die schreiben, dass "man diesem Staat und seinen Organen nur noch mit Misstrauen begegnen kann". Oder: "Die Macht der Staatsschnüffler lebt immer von der Feigheit und Dummheit der Bevölkerung." Was noch fehlt, ist der Aufruf zur Revolution gegen den Unrechts- und Überwachungsstaat. Würde sich jemand über eine Razzia aufregen oder eine Hausdurchsuchung bei Verdächtigen? Eher nicht. Wir vertrauen darauf, dass der Staat und die Ermittlungsbehörden sie im wahrsten Sinne des Wortes zurecht durchführen — und dabei auch Rechner zur Beweissicherung beschlagnahmen dürfen. Doch dann müssen sie im Internet-Zeitalter genauso das Recht haben, Computer auszuspionieren. Solange es dafür eine richterliche Anordnung gibt und einen begründeten Verdacht.

Der gezielte und von der Justiz genehmigte Einsatz von Trojanern ist sogar notwendig für einen Rechtsstaat, der seine Bürger zwischen Facebook, Twitter und Skype schützen will. Die Kommunikation zwischen Verdächtigen war immer schon ein mögliches Beweismittel. Und das ist sie auch im Internet-Zeitalter, dessen Methoden sich die Ermittler anpassen müssen und dürfen.

Das Bundesverfassungsgericht hat mit seinem Urteil vom 27. Februar 2008 zudem klare Vorgaben für Online-Durchsuchungen gemacht. Demnach wären sogar vorsorgliche Durchsuchungen erlaubt, "wenn eine konkrete Gefahr für ein überragend wichtiges Rechtsgut, wie etwa Leib, Leben oder Freiheit eines Menschen vorliegt", erklärt der Kölner Rechtsanwalt Christian Solmecke von der auf Online-Recht spezialisierten Kölner Kanzlei Wilde, Beuger, Solmecke. "Klar ist, dass der Trojaner in jedem Fall erst dann eingesetzt werden darf, wenn ein Richter die konkrete Überwachung genehmigt hat", so Solmecke weiter. Und: "Ergeben sich durch die umfassende Analyse eines Computers sogenannte Zufallsfunde, also möglicherweise weitere Straftaten, so sind diese Funde nach den Vorgaben des Verfassungsgerichts zu löschen." Das klingt nicht nach einem Überwachungsstaat.

Die Möglichkeit, dass der Trojaner weitere Programm-Bestandteile nachlädt, die eine Raumüberwachung möglich machen oder ein Keylogging, um Tastatur-Eingaben zu verfolgen, stellt der CCC zwar als unzumutbar dar. Doch ist es das wirklich? Wer eine potenzielle Nutzung für eine Gefahr hält, muss Angst vor jedem Polizisten haben: Die Beamten tragen Waffen, die potenziell tödlich sind. Doch wie viele wild um sich schießende Polizisten gibt es? Und wie groß ist unser Vertrauen darauf, dass Polizisten ihre Waffen tatsächlich nur im Notfall einsetzen? Und nur im Notfall dürfen die möglichen Funktionen des Trojaners nachgeladen werden. Und der Notfall heißt, dass ein Terroranschlag bevorsteht.

Wer aber möchte davor nicht geschützt werden? Bei allen Ängsten vor dem Überwachungsstaat — dem Einsatz sind enge Grenzen gesetzt. Ebenso wie den Personen, die als Ziel für den Trojaner infrage kommen. Ja, prinzipiell könnte das Virus der Überwachung dienen. Aber nicht in einem Land, das sich schwer tut, mit der Sicherungsverwahrung geständiger und bereits verurteilter Täter umzugehen — aus der Sorge heraus, ihre Rechte könnten verletzt werden und aus der Angst heraus, sie könnten erneut Verbrechen begehen. In einem solchen Land zu glauben, dass Richter eine Staatsüberwachung genehmigen, ist fern ab jeder Realität.

Digitaler Dilettantismus

Eher kann man im aktuell diskutierten Fall darüber stolpern, dass die Daten an einen angemieteten Server in den USA geschickt worden sind. Also außerhalb der Rechtsprechung der Bundesrepublik und sogar der EU. Das Unternehmen Digi Task, das den Trojaner programmiert hat, empfiehlt zur Verschleierung des Einsatzes den Umweg über zwei Rechner — einer davon in Übersee. Aus Sicht eines Programmierers macht das Sinn, aus Sicht der Rechtstaatlichkeit ist das bedenklich. Es wäre sogar "eindeutig ein Verstoß gegen geltendes Datenschutzrecht", meint zumindest Rechtsanwalt Solmecke.

Es passt ins Bild, dass sich bei den enttarnten Bundestrojaner Dritte einfach in die unverschlüsselte Datenübertragung vom Server einschalten konnten, sich als Zielrechner ausgeben oder sogar auf Dateien auf des infizierten PCs zugreifen konnten. Das ist digitaler Dilettantismus. Zwar verweist das Unternehmen Digi Task darauf, dass der Trojaner 2008 programmiert worden sei und damals dem Stand der Technik entsprochen habe. Wirklich überzeugend klingt das indes nicht. Und dass auf Anordnung staatlicher Stellen ein solches Einfallstor auf einem persönlichen Rechner geöffnet wird, ist mehr als nur peinlich. Unter anderem auch, weil Bundesverbraucherrministerin Ilse Aigner, die ebenfalls aus Bayern kommt und CSU-Mitglied ist, immer wieder gerne den fehlenden Datenschutz bei Facebook anprangert. Da können staatliche Institutionen nicht gleichzeitig einen Trojaner mit solchen Sicherheitslücken programmieren lassen.

Ebenso peinlich ist es, dass es den Ermittlern offensichtlich nicht gelungen ist, Viren-Experten zu gewinnen, sondern — wie der CCC in dem Fall erneut süffisant bemerkt — "studentische Hilfskräfte". Vergleicht man das mit den Hacker-Angriffen aus China oder dem Virus Stuxnet, der ganze Industrie-Anlagen ausschalten kann und sich gegen das iranische Atom-Programm wendete, wirkt der Bundestrojaner hilflos, sogar naiv. Während andere Länder digitale Düsenjets bauen, versuchen deutsche Ermittler immer noch eine mit Holzkohle befeuerte Dampfmaschine zu starten. Das ist nicht nur fahrlässig, es zerstört auch jede Beweiskraft der Daten. Denn wenn jeder die Möglichkeit hat, sie zu fälschen, sagen sie überhaupt nichts aus, sondern lassen Raum für berechtigte Zweifel.

In der Umsetzung liegt das eigentliche Problem, das der Bundestrojaner mehr als deutlich zeigt: Die Möglichkeiten der digitalen Kommunikation sind so schnell gewachsen, dass der Staat und seine Ermittler nicht mehr nachkommen und offenbar Schnellschüsse wagen. Das zeigt sich auch daran, dass man nicht in der Lage war, den Trojaner für Mac oder Linux-Systeme zu programmieren. Oder aber für Windows-64-bit-Systeme, sondern nur für die "gewöhnliche" 32-bit-Variante. Wenn ein Verdächtiger also bereits moderner ist, als die Polizei "erlaubt" und auf Windows 64-bit setzt, hat die digitale Ermittlung keine Chance.

Ermittler sind keine Digital Natives

Nein, Bestnoten für die Umsetzung kann man den bayerischen Ermittlungsbehörden nicht aussprechen. Sie sind wahrlich keine Digital Natives, ebenso wenig wie viele Politiker, die sich in der vergangenen Woche zu Wort gemeldet haben. Sowohl Regierung als auch Opposition haben sich in der Vergangenheit nicht gerade mit Ruhm bekleckert, wenn es um das Internet geht. Sei es beim Streit um das Sperren oder Löschen von Kinderpornografie-Seiten oder beim Wirrwarr um den elektronischen Personalausweis, vom Desaster beim elektronischen Entgeltnachweis Elena ganz zu schweigen. Peinlich auch der jüngste Drogenbericht der Bundesregierung, der vor Internetabhängigkeit warnt — mit der unfreiwillig komischen Definition, dass man internetsüchtig sei, wenn man mehr als vier Stunden am Tag privat online sei.

Nein, die digitale Wirklichkeit ist beim Staat und seinen Vertretern auf allen Ebenen nicht angekommen. Vertrauen in die digitale Kompetenz der staatlichen Institutionen kann man leider nicht haben. Umgekehrt gilt aber auch: Wer Angst vor einem Überwachungsstaat hat, hat die Definition von Privatsphäre im 21.Jahrhundert nicht verstanden. Wer aktiv und intensiv das Internet nutzt, hinterlässt mehr Spuren im Netz als ein Bundestrojaner jemals sammeln könnte. Wenn er Screenshots macht vom Internetbrowser, weiß Google bereits, wonach man gesucht hat — ohne Trojaner. Umgekehrt aber macht das Internet nur Sinn, wenn man Informationen preisgibt. Das fängt beim Kauf mit einer Kreditkarte an bis hin zu Hochzeitsankündigungen in sozialen Netzwerken, um das Ereignis mit allen digitalen Freunden zu feiern.

Wer ständig vom Überwachungsstaat spricht, ist genauso wenig ein Digital Native wie viele offizielle Vertreter des deutschen Staates. Im Internet gibt es mehr Informationen über uns, als wir für möglich halten oder wahr haben wollen. Aber mögliche Netz-Spione sind vermutlich schon furchtbar gelangweilt von uns — oder glaubt jemand wirklich, dass das gepostete Mittags-Menü bei Facebook interessiert?

Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort